BehaviorAnalytics
Diese Tabelle speichert die angereicherten Ereignisse für Sentinel UEBA und bietet Verhaltensanalysen für Rohdaten.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | Sicherheit |
Lösungen | BehaviorAnalyticsInsights |
Standardprotokoll | No |
Transformation der Erfassungszeit | Yes |
Beispielabfragen | - |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
ActionType | Zeichenfolge | Der spezifische Aktionstyp, der das Ereignis ausgelöst hat. |
ActivityInsights | dynamisch | Aktivitäts- und Verhaltenseinblicke. |
ActivityType | Zeichenfolge | Der Aktivitätstyp, der das Ereignis ausgelöst hat. |
ActorName | Zeichenfolge | Der Name des Benutzers, der die Aktion initiiert, die das Ereignis generiert hat. |
ActorPrincipalName | Zeichenfolge | Der Prinzipalname des Benutzers, der die Aktion initiiert, die das Ereignis generiert hat. |
_BilledSize | real | Die Datensatzgröße in Bytes |
DestinationDevice | Zeichenfolge | Der Hostname des Zielgeräts. |
DestinationIPAddress | Zeichenfolge | Die Ziel-IP-Adresse |
DestinationIPLocation | Zeichenfolge | Der geografische Zielstandort basierend auf der IP-Adresse. |
Sicherungsmedium | Zeichenfolge | Der Name des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat, abhängig vom Schema. |
DevicesInsights | dynamisch | Gerätemetadaten und Erkenntnisse. |
EventProductVersion | Zeichenfolge | Die Version des Produkts, das das Ereignis erzeugt. |
EventSource | Zeichenfolge | Datenquelle für dieses Ereignis. |
EventVendor | Zeichenfolge | Der Hersteller des Produkts, das das Ereignis erzeugt. |
InvestigationPriority | INT | Bewertung der Untersuchungspriorität. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
NativeTableName | Zeichenfolge | Die ursprüngliche Tabelle, aus der der Datensatz abgerufen wurde. |
_ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
SourceDevice | Zeichenfolge | Der Hostname des Quellgeräts. |
SourceIPAddress | Zeichenfolge | Die Quell-IP-Adresse |
SourceIPLocation | Zeichenfolge | Der Geo-Quellstandort basierend auf der IP-Adresse. |
SourceRecordId | Zeichenfolge | Die eindeutige ID des Quell-Rohdatenereignisses. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
_SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
TargetName | Zeichenfolge | Der Name des Zielbenutzers in der Aktion, die das Ereignis generiert hat. |
TargetPrincipalName | Zeichenfolge | Der Name des Zielbenutzers in der Aktion, die das Ereignis generiert hat. |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
TimeGenerated | datetime | Zeitpunkt, zu dem das unformatierte Ereignis generiert wurde (UTC). |
TimeProcessed | datetime | Zeitpunkt der Anreicherungsverarbeitung (UTC). |
type | Zeichenfolge | Der Name der Tabelle. |
UserName | Zeichenfolge | Benutzername des Kontos. |
UserPrincipalName | Zeichenfolge | Benutzerprinzipalname des Kontos. |
UsersInsights | dynamisch | Benutzermetadaten und Erkenntnisse. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für